Original-URL des Artikels: https://www.golem.de/news/hack-die-motoren-am-anderen-ende-der-welt-stoppen-1904-140904.html    Veröffentlicht: 26.04.2019 11:46    Kurz-URL: https://glm.io/140904

Hack

Die Motoren am anderen Ende der Welt stoppen

Ein Hacker hat auf knapp 30.000 Kundenkonten von zwei GPS-Tracker-Apps zugreifen können. Neben umfangreichen Einblicken hätte er bei manchen Fahrzeugen auch den Motor während der Fahrt ausschalten können - per App oder Webclient.

Mit den Apps Protrack und iTrack kann die Fahrzeugflotte per GPS getrackt werden. Einem Hacker, der sich L&M nennt, ist es gelungen, mehrere Tausend Kundenkonten zu übernehmen. Laut einem Bericht des Onlinemagazins Motherboard konnte er nicht nur die Bewegungen der Autos und persönliche Daten einsehen. Vielmehr hätte er bei manchen auch die Motoren stoppen können, sofern die verbauten Hardware-GPS-Tracker im Fahrzeug dies unterstützten. Neben den Apps können auch unverschlüsselte Webclients genutzt werden.

L&M gab in dem Bericht an, auf mehr als 7.000 Konten bei iTrack und über 20.000 bei Protrack zugreifen zu können. Dafür habe er Millionen Nutzernamen über einen Brute-Force-Angriff - das massenhafte Durchprobieren von Nutzernamen-Kombinationen - ermittelt. Die beiden Tracking-Apps setzen das Standardpasswort "123456", mit dem er sich tausendfach erfolgreich anmelden konnte. Protrack nennt das Standardpasswort sogar explizit in seiner API-Dokumentation, bei iTrack wird es für das Demo-Konto verwendet.

Autos stoppen und viele Daten

Nach dem erfolgreichen Login konnte L&M umfangreiche Informationen über Kunden und Fahrzeuge einsehen. Je nach Konto habe er den Namen und das Modell der verwendeten GPS-Hardware im Fahrzeug, dessen eindeutige IMEI-Nummer, die Namen und Nutzernamen der Kunden, deren Adresse, Telefonnummer und die E-Mail-Adresse einsehen können. Zudem habe er die Standorte und Bewegungen der Fahrzeuge auf einer Karte angezeigt bekommen. Sofern die GPS-Hardware in den entsprechenden Autos die Funktion zum Stoppen des Motors unterstützte, hätte er die Autos aus der Ferne anhalten können. Ein Sprecher von Concox, dessem GPS-Tracker in einigen der betroffenen Fahrzeugen verbaut wurden, bestätigte Motherboard, dass sich der Motor über die Geräte aus der Ferne ausschalten lasse - sofern die Geschwindigkeit des Fahrzeugs 20 Kilometer pro Stunde nicht überschreite.

"Ich hätte für massive Verkehrsprobleme auf der ganzen Welt sorgen können", sagte L&M dem Onlinmagazin. "Ich habe die volle Kontrolle über Hunderttausende Fahrzeuge und kann deren Motoren per Touch stoppen." Das habe er jedoch nie getan, da dies zu gefährlich sei. Sein Ziel seien nicht die Kunden, sondern die Firma gewesen, die ihre Kunden in Gefahr bringe.

Unverschlüsselte Webclients

Die Apps sind für iOS und Android erhältlich. Laut Google Play Store weist iTrack über 50.000 und Protrack über 100.000 Installationen auf. Die Apps werden von den Firmen iTryBrand Technology und Seeworld, beide mit Sitz in Shenzhen, China, vertrieben.

Neben den Apps können die Fahrzeuge auch über die Webseiten der Anbieter getrackt werden. Diese sind bei beiden Anbietern auch in deutscher Sprache verfügbar. Die Verbindung zu Webseite und Webclient kann jedoch nur unverschlüsselt aufgerufen werden. In den jeweiligen Demo-Versionen können die Standorte der Fahrzeuge auf einer Weltkarte eingesehen sowie deren Bewegungsprofile abgerufen werden. Neben umfangreichen Informationen finden sich dort auch die Buttons zum Stoppen der Motoren wieder.  (mtr)


Verwandte Artikel:
Alarmsysteme: Sicherheitslücke ermöglicht Übernahme von Autos   
(08.03.2019, https://glm.io/139884 )
Metro & Dish: Tisch-Reservierung auf Google übernehmen   
(26.04.2019, https://glm.io/140886 )
Nach Angriff auf Asus: Sechs weitere Firmen verteilen signierte Schadsoftware   
(24.04.2019, https://glm.io/140849 )
Websicherheit: Datenlecks durch backup.zip   
(23.04.2019, https://glm.io/140564 )
Tchap: Forscher gelingt Anmeldung im Regierungschat Frankreichs   
(22.04.2019, https://glm.io/140799 )

© 1997–2020 Golem.de, https://www.golem.de/